암호화 및 보안 8 JAN, 2012

NDN 시대의 서비스 거부 공격 탐구

NDN 시대의 서비스 거부 공격 탐구

초록

본 논문은 차세대 인터넷 아키텍처인 Named‑Data Networking(NDN)에서 발생할 수 있는 다양한 DoS/DDoS 공격을 체계적으로 분류·분석하고, 각 공격의 메커니즘과 파급 효과를 실험적으로 평가한다. NDN의 핵심 요소인 PIT, CS, FIB와 자체 인증 이름 체계가 제공하는 기본 보안 기능에도 불구하고, Interest Flooding, Content Poisoning, Cache Pollution 등 새로운 형태의 서비스 거부 위협이 존재함을 밝힌다. 논문은 인터페이스별 제한, 만족도 기반 필터링, PIT 관리 정책 등 실현 가능한 방어 메커니즘을 제시하고, 인간이 읽을 수 있는 이름과 자기‑인증 이름 사이의 보안·운용 트레이드오프에 대한 논의를 제공한다.

상세 분석

NDN은 전통적인 IP 기반 라우팅이 아닌 이름 기반 라우팅을 채택함으로써 데이터 자체가 네트워크의 기본 단위가 된다. 이때 라우터는 들어오는 Interest 패킷을 Pending Interest Table(PIT)에 기록하고, 해당 Interest에 매칭되는 Data 패킷이 도착하면 역방향으로 전달한다. 또한 Content Store(CS)는 캐시된 Data를 제공하고, Forwarding Information Base(FIB)는 이름 프리픽스 기반의 라우팅 정보를 유지한다. 이러한 구조는 데이터 무결성을 보장하기 위해 모든 Data에 서명을 부착하고, 이름 자체가 공개키와 연결되는 자기‑인증(self‑certifying) 방식을 지원한다. 그러나 이러한 설계가 보안에 유리한 반면, 새로운 형태의 DoS 공격 표면을 만든다.

첫 번째 공격군은 Interest Flooding이다. 공격자는 존재하지 않는 혹은 무작위 이름을 가진 Interest를 대량으로 전송해 PIT를 포화시킨다. PIT가 가득 차면 정상 사용자의 Interest는 차단되고, 라우터는 메모리 소모와 처리 지연을 겪는다. 변형으로는 “동적 콘텐츠 요청”을 가장한 고빈도 Interest, 혹은 “인기 콘텐츠”에 대한 과도한 재요청을 이용해 CS를 비우고 원본 서버에 부하를 전가하는 형태가 있다.

두 번째는 Content Poisoning이다. 악의적인 엔터티가 서명이 올바르지 않은 가짜 Data를 반환함으로써 CS에 오염된 데이터를 저장하게 만든다. 이후 정상 사용자는 변조된 데이터를 받아 신뢰성을 손상시킨다. NDN의 기본 설계는 Data 서명을 검증하도록 요구하지만, 라우터가 실시간으로 모든 서명을 검증하기엔 연산 비용이 과다하므로, 검증이 생략된 경우 공격이 성공한다.

세 번째는 Cache Pollution이다. 공격자는 특정 이름 프리픽스에 대해 의도적으로 낮은 인기도의 데이터를 요청하거나, 인기 없는 데이터를 대량으로 캐시하도록 유도한다. 결과적으로 캐시 효율이 급격히 저하되어 정당 트래픽에 대한 응답 시간이 늘어난다.

네 번째는 PIT‑State Exhaustion과 연계된 DDoS 증폭이다. 공격자는 여러 협력 노드를 이용해 동일한 이름에 대한 Interest를 동시다발적으로 전송하고, 원본 서버가 대량의 Data를 반환하면 네트워크 전반에 부하가 확산된다. NDN의 Interest‑Data 매칭 메커니즘은 이러한 증폭 효과를 억제하기 어렵다.

논문은 위 공격들에 대해 라우터‑레벨 방어 전략을 제안한다. 인터페이스별 Interest Rate Limiting은 특정 Face에 대한 전송 속도를 제한해 PIT 포화를 방지한다. Interest Satisfaction Ratio(ISR) 기반 필터링은 만족되지 않은 Interest 비율이 높은 Face를 자동 차단한다. PIT 크기와 TTL을 동적으로 조정하는 정책은 메모리 사용을 최적화한다. CS 오염 방지를 위해 라우터는 선택적으로 서명 검증을 수행하고, 검증 실패 시 해당 Data를 캐시하지 않는다. 또한, 신뢰 스키마를 활용해 이름‑공간 별 신뢰 수준을 정의하고, 고위험 이름에 대해 더 엄격한 검증을 적용한다.

마지막으로 논문은 인간이 읽을 수 있는 의미 있는 이름과 자기‑인증 이름 사이의 보안·운용 트레이드오프를 논한다. 인간‑친화적 이름은 관리와 정책 적용이 용이하지만, 이름 자체가 공격 표면이 될 수 있다. 반면 자기‑인증 이름은 서명 검증을 통해 무결성을 보장하지만, 이름 관리와 라우팅 복잡도가 증가한다. 이러한 논의는 NDN 설계 시 보안·사용성 균형을 어떻게 맞출지에 대한 중요한 시사점을 제공한다.